JP2008294552A - Secret key controller, secret key control system, and secret key control program - Google Patents
Secret key controller, secret key control system, and secret key control program Download PDFInfo
- Publication number
- JP2008294552A JP2008294552A JP2007135572A JP2007135572A JP2008294552A JP 2008294552 A JP2008294552 A JP 2008294552A JP 2007135572 A JP2007135572 A JP 2007135572A JP 2007135572 A JP2007135572 A JP 2007135572A JP 2008294552 A JP2008294552 A JP 2008294552A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- key
- electronic certificate
- unit
- secret key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、秘密鍵制御装置、秘密鍵制御システムおよび秘密鍵制御プログラムに関する。 The present invention relates to a secret key control device, a secret key control system, and a secret key control program.
近年、電子文書のセキュリティを維持すべく、様々な対策が講じられている。 In recent years, various measures have been taken to maintain the security of electronic documents.
セキュリティ対策の一つとして、一般に公開される公開鍵と、公開しない秘密鍵とを利用する技術が存在する。 公開鍵と秘密鍵を利用した技術では、文書の通信間における暗号化や電子メールの署名などが行われる。 As one of security measures, there is a technology that uses a public key that is publicly disclosed and a secret key that is not disclosed. In the technology using a public key and a private key, encryption between documents and electronic mail signatures are performed.
暗号化に関しては、通信相手の公開鍵で文書を暗号化してデータを送信し、データを受信した方は自らの秘密鍵でデータを復号して文書を閲覧する。 これにより、秘密鍵を持っている受信側でないと送信された文書を閲覧することはできなくなる。 Regarding encryption, the document is encrypted with the communication partner's public key and the data is transmitted, and the person who receives the data decrypts the data with his / her private key and browses the document. As a result, the transmitted document cannot be browsed unless the receiving side has a secret key.
また、電子メールの署名に関しては、電子メールのハッシュ値を送信者の秘密鍵で暗号化した署名を電子メールに付加して通信相手に送信し、受信した相手は、電子メールに付加されたデータを送信者の公開鍵で復号した値と電子メールが得られるハッシュ値とを比べることで、送信者の正当性確認と電子メールが改ざんされていないことの確認が可能となる。 For email signatures, a signature obtained by encrypting the hash value of the email with the sender's private key is added to the email and sent to the communication partner, and the recipient receives the data attached to the email. By comparing the value decrypted with the sender's public key with the hash value from which the e-mail can be obtained, it is possible to confirm the sender's validity and confirm that the e-mail has not been tampered with.
そして、特許文献1には、公開鍵によって暗号化された電子文書の復号において、暗号化に使用された公開鍵の電子証明書を検証し、検証結果によって、復号の使用可否判断を行う情報復号方法および装置並びにプログラム、暗号化情報作成方法および装置並びにプログラム、暗号化情報、文書編集方法および装置並びにプログラムが提案されている。 Patent Document 1 discloses an information decryption that verifies an electronic certificate of a public key used for encryption in decryption of an electronic document encrypted with a public key, and determines whether to use decryption based on the verification result. There have been proposed a method and apparatus and a program, an encryption information creating method and apparatus, a program, encrypted information, a document editing method and apparatus, and a program.
また、特許文献2には、複合機の電子メール送信部において、暗号化あるいは署名に使用される電子証明書を検証し、検証結果によって、暗号化あるいは署名の可否判断を行う情報処理装置、データ送信方法、プログラムが提案されている。
先に示した特許文献1の発明では、秘密鍵が第三者に漏洩したといった場合や、企業において退職社員が秘密鍵の返却を怠った場合などに、それら秘密鍵を使った不正な文書閲覧を禁止することが可能となる。 しかし、この特許文献1の発明においては、秘密鍵を使用した署名、認証に関する対策には触れられておらず、漏洩した秘密鍵や退職時に返却されなかった秘密鍵を利用した署名や認証についての制御はできない。 In the invention of Patent Document 1 described above, when a secret key is leaked to a third party, or when a retired employee fails to return the secret key in a company, illegal document browsing using the secret key is performed. Can be prohibited. However, in the invention of this Patent Document 1, no measures regarding signature and authentication using a secret key are mentioned, and a signature or authentication using a leaked secret key or a secret key that was not returned at the time of retirement It cannot be controlled.
また、特許文献2の発明では、電子証明書を失効させることで、電子メールの暗号化や署名を制御することが可能となる。 しかし、この特許文献2の発明においては、秘密鍵と電子証明書との対応については触れられておらず、別の認証局を利用して作成した偽の電子証明書を対応させることによって電子証明書の検証に成功させ、不正に署名メールを作成することを防ぐことはできない。 Further, in the invention of Patent Document 2, it is possible to control the encryption and signature of electronic mail by revoking the electronic certificate. However, in the invention of Patent Document 2, the correspondence between the private key and the electronic certificate is not mentioned, and the electronic certificate is obtained by associating a fake electronic certificate created using another certificate authority. It is impossible to prevent successful verification of the certificate and illegally create a signature mail.
これらの課題を解決する為には、秘密鍵そのものに対して一意に割り当てられた電子証明書を検証するようにして、その結果により、暗号/復号/署名/認証などの秘密鍵を必要とする処理を制御する方式が考えられる。 この方式では、秘密鍵に対して電子証明書を一意に決定する必要がある。 In order to solve these problems, a digital key uniquely assigned to the private key itself is verified, and the result requires a private key such as encryption / decryption / signature / authentication. A method for controlling the processing can be considered. In this method, it is necessary to uniquely determine an electronic certificate for a private key.
そこで、この発明は、秘密鍵に一意に対応する電子証明書の検証結果に従って秘密鍵の利用を制御する秘密鍵制御装置、秘密鍵制御システムおよび秘密鍵制御プログラムを提供することを目的とする。 Accordingly, an object of the present invention is to provide a secret key control device, a secret key control system, and a secret key control program that control the use of a secret key in accordance with a verification result of an electronic certificate that uniquely corresponds to the secret key.
上記目的を達成するために、請求項1の発明の秘密鍵制御装置は、電子証明書を認証局より受信する受信手段と、前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段とを備えるように構成される。 In order to achieve the above object, a secret key control apparatus according to claim 1 of the present invention includes a receiving unit that receives an electronic certificate from a certificate authority, and a certificate authority that receives the electronic certificate received by the receiving unit. Confirmation means for confirming whether it has been issued, electronic certificate storage means for storing the electronic certificate confirmed by the confirmation means, and public key of the electronic certificate stored in the electronic certificate storage means A key storage unit that stores a private key corresponding to the above, a reception unit that receives a predetermined processing request that uses the private key, a verification unit that verifies the validity of the electronic certificate stored in the electronic certificate storage unit, When the electronic certificate is valid by the verification unit, the use of the private key stored in the key storage unit is permitted in response to a predetermined processing request using the private key received by the reception unit. Permission to do Configured with and.
また、請求項2の発明は、請求項1の発明において、前記認証局が保存する共有鍵と同じ共有鍵を保存する共有鍵保存手段を更に備え、前記受信手段は、暗号化された電子証明書を含むデータを受信し、前記確認手段は、前記受信手段で受信したデータが前記共有鍵によって復号できるかにより、当該電子証明書の認証局の確認を行うように構成される。 The invention of claim 2 further comprises shared key storage means for storing the same shared key as the shared key stored by the certificate authority in the invention of claim 1, wherein the reception means is an encrypted electronic certificate. The confirmation means is configured to confirm the certificate authority of the electronic certificate according to whether the data received by the reception means can be decrypted by the shared key.
また、請求項3の発明は、請求項1の発明において、前記認証局と同じ共有鍵を保存する共有鍵保存手段を更に備え、前記受信手段は、電子署名が付加された電子証明書を含むデータを受信し、前記確認手段は、前記受信手段で受信した電子署名の前記共有鍵による検証結果により、前記電子証明書の認証局の確認を行うように構成される。
The invention of
また、請求項4の発明は、請求項1の発明において、前記認証局の証明書を保存する証明書保存手段を更に備え、前記確認手段は、前記受信手段で受信した電子証明書に記載される発行元の認証局と、前記証明書保存手段で保存される証明書の認証局とが同じであるかにより、前記電子証明書の認証局の確認を行うように構成される。
The invention of
また、請求項5の発明は、請求項1乃至4に記載のいずれかの発明において、前記鍵保存手段は、前記認証局から送信された秘密鍵を受信して保存するように構成される。 According to a fifth aspect of the present invention, in any one of the first to fourth aspects, the key storage unit is configured to receive and store a secret key transmitted from the certificate authority.
また、請求項6の発明は、請求項5の発明において、データの暗号化に使用される暗号鍵を生成する生成手段と、前記生成手段で生成した暗号鍵を前記認証局に送信する暗号鍵送信手段とを更に備え、前記鍵保存手段は、前記認証局から前記暗号鍵送信手段で送信した暗号鍵で暗号化された暗号データを受信し、前記生成手段で生成した暗号鍵で当該暗号データを復号することにより秘密鍵を得、当該秘密鍵を保存するように構成される。 According to a sixth aspect of the present invention, in the fifth aspect of the present invention, a generation means for generating an encryption key used for data encryption, and an encryption key for transmitting the encryption key generated by the generation means to the certificate authority Transmitting means, wherein the key storage means receives encrypted data encrypted with the encryption key transmitted by the encryption key transmitting means from the certificate authority, and the encrypted data with the encryption key generated by the generating means The private key is obtained by decrypting and the private key is stored.
また、請求項7の発明は、請求項1乃至4に記載のいずれかの発明において、秘密鍵と当該秘密鍵に対応する公開鍵とを生成する生成手段と、前記生成手段で生成した公開鍵を前記認証局に送信する公開鍵送信手段とを更に備え、前記受信手段は、前記公開鍵送信手段で送信された公開鍵を含む電子証明書を前記認証局から受信し、前記鍵保存手段は、前記生成手段で生成された秘密鍵を保存するように構成される。 According to a seventh aspect of the present invention, in any one of the first to fourth aspects of the present invention, a generating unit that generates a secret key and a public key corresponding to the secret key, and a public key generated by the generating unit Public key transmitting means for transmitting to the certification authority, the receiving means receives an electronic certificate including the public key transmitted by the public key transmitting means from the certification authority, and the key storage means The secret key generated by the generating means is stored.
また、請求項8の発明の秘密鍵制御システムは、電子証明書を発行する認証局と、前記電子証明書を受信する秘密鍵制御装置とを具備し、前記秘密鍵制御装置は、電子証明書を認証局より受信する受信手段と、前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段とを備えるように構成される。 The private key control system of the invention of claim 8 comprises a certificate authority that issues an electronic certificate and a private key control device that receives the electronic certificate, wherein the private key control device is an electronic certificate. Receiving means from the certificate authority, confirmation means for confirming whether the electronic certificate received by the receiver means is issued by a predetermined certificate authority, and the electronic certificate confirmed by the confirmation means Electronic certificate storage means for storing a certificate, key storage means for storing a private key corresponding to the public key of the electronic certificate stored in the electronic certificate storage means, and a predetermined processing request using the private key Accepting means, validating means for verifying the validity of the electronic certificate stored in the electronic certificate storing means, and accepting by the accepting means when the electronic certificate is valid by the verifying means The secret key For a given process requests that use, configured with a permitting means for permitting use of the secret key stored in the key storing means.
また、請求項9の発明の秘密鍵制御プログラムは、コンピュータを電子証明書を認証局より受信する受信手段と、前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段として機能させるように構成される。 According to a ninth aspect of the present invention, there is provided a secret key control program in which a computer receives an electronic certificate from a certificate authority, and an electronic certificate received by the receiver is issued by a predetermined certificate authority. A confirmation means for confirming whether the electronic certificate is confirmed, an electronic certificate storage means for storing the electronic certificate confirmed by the confirmation means, and a secret corresponding to the public key of the electronic certificate stored by the electronic certificate storage means Key storage means for storing a key, reception means for receiving a predetermined processing request using the private key, verification means for verifying the validity of the electronic certificate stored in the electronic certificate storage means, and the verification means When the electronic certificate is valid, the permitting person who permits the use of the private key stored in the key storage unit in response to the predetermined processing request using the private key received by the reception unit. Configured to function as a.
請求項1または請求項8または請求項9の発明によれば、秘密鍵の使用に際して、秘密鍵と対応する電子証明書の有効性を検証して初めて使用することができるようにすることができるという効果を奏する。 According to the invention of claim 1, claim 8 or claim 9, when the private key is used, it can be used only after verifying the validity of the electronic certificate corresponding to the private key. There is an effect.
また、請求項2の発明によれば、共有鍵でデータを復号することにより、電子証明書を送信した認証局を確認することができるという効果を奏する。 In addition, according to the invention of claim 2, there is an effect that the certificate authority that has transmitted the electronic certificate can be confirmed by decrypting the data with the shared key.
また、請求項3の発明によれば、共有鍵で署名を検証することにより、電子証明書を送信した認証局を確認することができるという効果を奏する。 According to the third aspect of the present invention, it is possible to confirm the certificate authority that transmitted the electronic certificate by verifying the signature with the shared key.
また、請求項4の発明によれば、保存された証明書によって、電子証明書を送信した認証局を確認することができるという効果を奏する。
According to the invention of
また、請求項5の発明によれば、電子証明書の有効性の検証後に使用を許可する秘密鍵を認証局から送信されるようにすることができるという効果を奏する。
In addition, according to the invention of
また、請求項6の発明によれば、認証局から送信される秘密鍵を暗号化された状態で受信することができるという効果を奏する。
Further, according to the invention of
また、請求項7の発明によれば、秘密鍵制御装置で生成した秘密鍵とペアの公開鍵に対応する電子証明書により、その秘密鍵の使用を制御することができるという効果を奏する。
Further, according to the invention of
以下、本発明に係わる秘密鍵制御システムの実施例について添付図面を参照して詳細に説明する。 Embodiments of a secret key control system according to the present invention will be described below in detail with reference to the accompanying drawings.
まず、本発明に係わる秘密鍵制御システム100の構成の概略について図1を参照して説明する。
First, an outline of the configuration of the secret
図1は、秘密鍵制御システム100の構成について示した概略図である。
FIG. 1 is a schematic diagram showing the configuration of the secret
図1(a)は、本発明に係わる秘密鍵制御システム100の構成の概略を示した図であり、秘密鍵制御システム100は、事業所1に配置されるパーソナルコンピュータ(以下、PCと略す)4/6(実施例1、実施例2ではPC4が使用され、実施例3、実施例4ではPC6が使用される)と認証局2に配置されるPC5/7(実施例1、実施例2ではPC5が使用され、実施例3、実施例4ではPC7が使用される)とが通信回線3により接続されて構成される。
FIG. 1 (a) is a diagram showing an outline of the configuration of a secret
認証局2とは、事業所1内のPC4/6で使用される秘密鍵に対応する公開鍵を証明する電子証明書の発行、管理を行う機関である。 The certificate authority 2 is an organization that issues and manages an electronic certificate that certifies a public key corresponding to a private key used in the PC 4/6 in the office 1.
認証局2は、CA(Certificate Authority)であり、パブリックCA(不特定多数の広い範囲で電子証明書の保証を行う)でもプライベートCA(企業内などの閉じた範囲で電子証明書の保証を行う)でもよい。 The certificate authority 2 is a CA (Certificate Authority), and even a public CA (guaranteed an electronic certificate in a wide range of unspecified numbers) or a private CA (guaranteed an electronic certificate in a closed range such as in a company) )
図1(b)について説明すると、事業所1内で使用されるPC4内に秘密鍵制御モジュール40が備えられ、そして、認証局2内で使用されるPC5内には認証局モジュール50が備えられる例については、実施例1で説明を行う。
Referring to FIG. 1B, a secret
また、図1(b)について、事業所内で使用されるPC4内に秘密鍵制御モジュール60が備えられ、そして、認証局2内で使用されるPC5内には認証局モジュール70が備えられる例については、実施例2で説明を行う。
1B, an example in which the secret
また、図1(c)について説明すると、事業所1内で使用されるPC6内に秘密鍵制御モジュール90が備えられ、そして、認証局2内で使用されるPC7内には認証局モジュール110が備えられる例については、実施例3で説明を行う。
1C, the secret
また、図1(c)について、事業所内で使用されるPC6内に秘密鍵制御モジュール120が備えられ、そして、認証局2内で使用されるPC7内には認証局モジュール140が備えられる例については、実施例4で説明を行う。
1C, a secret
まず、実施例1で説明される事業所1内のPC4は、図1(b)に示すように、認証局証明書登録部10、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール40を備える。 そして、実施例1で説明される認証局2内のPC5は、図1(b)に示すように、認証局モジュール50を備える。
First, as shown in FIG. 1B, the
PC4内の認証局証明書登録部10には、認証局2の認証局証明書が記憶される。 認証局証明書登録部10に記憶される認証局2の認証局証明書は、PC4が製品として工場から出荷される時点で既に記憶されている。 しかし、PC4の工場出荷時点では認証局証明書登録部10には認証局2の認証局証明書は記憶されておらず、後でユーザが認証局証明書登録部10に認証局2の認証局証明書を記憶させるようにしてもよい。
The certificate authority
電子証明書登録部20は、PC4のキーボードなどから入力されるユーザからの電子証明書登録要求を受け付ける。
The electronic
データ処理部30は、各種データの処理を行い、データの処理において秘密鍵が必要である場合には秘密鍵制御モジュール40にそのデータを送って秘密鍵による処理を要求する。 秘密鍵が必要な処理とは、暗号/復号/署名/認証などの処理である。 データ処理部30から秘密鍵制御モジュール40に送られるデータは、暗合化されるデータや、復号が必要な暗号データや、署名の元となるハッシュ値や、認証に必要なデータなどである。 秘密鍵制御モジュール40では、これらのデータが送られて、電子証明書の有効性の確認が行われた後に、秘密鍵を使用したデータの処理(暗号/復号/署名/認証)が行われる。
The
秘密鍵制御モジュール40は、秘密鍵とその秘密鍵に対応する電子証明書を登録し、データ処理部30からデータの暗号/復号/署名/認証のいずれかの要求を受け付けて、その秘密鍵を使用した暗号/復号/署名/認証のいずれかの処理を行う。
The private
秘密鍵制御モジュール40には1つの秘密鍵だけが登録され、また、登録される電子証明書は、対応される秘密鍵に対して一意なものである。
Only one secret key is registered in the secret
認証局モジュール50は、PC4の秘密鍵制御モジュール40から暗号キーが送られると、秘密鍵とその秘密鍵に対応する電子証明書を生成して、秘密鍵制御モジュール40から送られた暗号キーで、生成した秘密鍵とその秘密鍵に対応する電子証明書を暗号化して秘密鍵制御モジュール40に送信する。
When the encryption key is sent from the private
次に、実施例2で説明される事業所1内のPC4は、図1(b)に示すように、認証局証明書登録部10、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール60を備える。 そして、実施例2で説明される認証局2内のPC5は、図1(b)に示すように、認証局モジュール70を備える。
Next, as shown in FIG. 1B, the
実施例2で説明されるPC4内の認証局証明書登録部10、電子証明書登録部20、データ処理部30は、実施例1で説明されるPC4内のそれぞれと同じである。
The CA
秘密鍵制御モジュール60は、公開鍵と秘密鍵のペアを生成し、そして、秘密鍵とその秘密鍵に対応する電子証明書とを登録する。 そして、秘密鍵制御モジュール60は、データ処理部30からデータの暗号/復号/署名/認証のいずれかの要求を受け付けて、その暗号/復号/署名/認証のいずれかの処理を登録した秘密鍵を使用して行う。 秘密鍵制御モジュール60には1つの秘密鍵だけが登録され、また、登録される電子証明書は、対応される秘密鍵に対して一意なものである。
The private
認証局モジュール70は、PC4の秘密鍵制御モジュール60から公開鍵が送られると、その公開鍵の電子証明書を生成して秘密鍵制御モジュール60に送信する。
When the public key is sent from the private
次に、実施例3で説明される事業所1内のPC6は、図1(c)に示すように、SharedSecret登録部80、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール90を備える。 そして、実施例3で説明される認証局2内のPC7は、図1(c)に示すように、認証局モジュール110を備える。
Next, as shown in FIG. 1C, the
実施例3で説明されるPC6内の電子証明書登録部20、データ処理部30は、実施例1で説明されるPC4内のそれぞれと同じである。
The electronic
SharedSecret登録部80は、認証局2内のPC7の認証局モジュール140に記憶されるSharedSecretと同じSharedSecretを記憶する。 SharedSecretは、データを暗復号できる共通鍵の一種である。
The
秘密鍵制御モジュール90は、秘密鍵とその秘密鍵に対応する電子証明書を登録し、データ処理部30からデータの暗号/復号/署名/認証のいずれかの要求を受け付けて、その秘密鍵を使用した暗号/復号/署名/認証のいずれかの処理を行う。 秘密鍵制御モジュール90には1つの秘密鍵だけが登録され、また、登録される電子証明書は、対応される秘密鍵に対して一意なものである。
The private
認証局モジュール110は、PC7の秘密鍵制御モジュール90から暗号キーが送られると、秘密鍵とその秘密鍵に対応する電子証明書を生成して暗号キーで暗号化し、暗号化したデータにSharedSecretによる署名を付加して秘密鍵制御モジュール90に送信する。
When the encryption key is sent from the secret
次に、実施例4で説明される事業所1内のPC6は、図1(c)に示すように、SharedSecret登録部80、電子証明書登録部20、データ処理部30、秘密制御モジュール120を備える。 そして、実施例4で説明される認証局2内のPC7は、図1(c)に示すように、認証局モジュール140を備える。
Next, as shown in FIG. 1C, the
実施例4で説明されるPC6内の電子証明書登録部20、データ処理部30は、実施例1で説明されるPC4内のそれぞれと同じである。
The electronic
秘密鍵制御モジュール120は、公開鍵と秘密鍵のペアを生成し、そして、秘密鍵とその秘密鍵に対応する電子証明書とを登録する。 そして、秘密鍵制御モジュール120は、データ処理部30からデータの暗号/復号/署名/認証のいずれかの要求を受け付けて、その秘密鍵を使用した暗号/復号/署名/認証のいずれかの処理を行う。 秘密鍵制御モジュール120には1つの秘密鍵だけが登録され、また、登録される電子証明書は、対応される秘密鍵に対して一意なものである。
The private
認証局モジュール140は、PC6の秘密鍵制御モジュール120から公開鍵が送られると、その公開鍵の電子証明書を生成して、SharedSecretによる署名を付加して秘密鍵制御モジュール120に送信する。
When the public key is sent from the private
このように、秘密鍵制御システム100は、事業所1のPC4/6と認証局2のPC5/7とが通信回線3によって接続された状態である。 そして、秘密鍵制御システム100を説明する実施例は、事業所1、認証局2内に備えられるPCの違いにより実施例を変えて説明する。 具体的には、実施例1では、認証局証明書登録部10、秘密鍵制御モジュール40を備えるPC4と認証局モジュール50を備えるPC5とで構成される秘密鍵制御システム100について説明し、実施例2では、認証局証明書登録部10、秘密鍵制御モジュール60を備えるPC4と認証局モジュール70を備えるPC5とで構成される秘密鍵制御システム100について説明し、実施例3では、SharedSecret登録部80、秘密鍵制御モジュール90を備えるPC6と認証局モジュール110を備えるPC7とで構成される秘密鍵制御システム100について説明し、実施例4では、SharedSecret登録部80、秘密鍵制御モジュール120を備えるPC6と認証局モジュール140を備えるPC7とで構成される秘密鍵制御システム100について説明する。
Thus, the secret
本実施例では、事業所1内で使用されるPC4内に認証局証明書登録部10、秘密鍵制御モジュール40などが備えられ、認証局2内で使用されるPC5内に認証局モジュール50が備えられる秘密鍵制御システム100について説明を行う(図1(b)を参照して説明した構成)。
In this embodiment, the certificate authority
まず、秘密鍵制御モジュール40と認証局モジュール50などの構成について図2を参照して説明を行う。
First, the configuration of the secret
図2は、秘密鍵制御モジュール40と認証局モジュール50などの構成について示したブロック図である。
FIG. 2 is a block diagram showing the configuration of the secret
事業所1内のPC4内には、認証局証明書登録部10、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール40が備えられ、認証局2内のPC5内には、認証局モジュール50が備えられる。
The
秘密鍵制御モジュール40は、認証局証明書保存部41、暗号キー生成部42、暗号キー保存部43、暗号データ復号部44、証明書確認部45、鍵保存部46、電子証明書保存部47、暗号処理部48、証明書検証部49を備える。
The private
認証局モジュール50は、暗号データ生成部51、証明書生成部52、鍵生成部53を備える。
The
認証局証明書保存部41は、認証局証明書登録部10より受け付けた認証局証明書を記憶保存することにより、認証局証明書の登録を行う。 そして、認証局証明書保存部41は、1つの認証局証明書しか登録しない。
The certificate authority
暗号キー生成部42は、電子証明書登録部20よりユーザからの電子証明書登録要求を受け付け、認証局証明書保存部41に認証局証明書が登録されていることを確認し、認証局モジュール50に送信する暗号キーを生成する。 暗号キー生成部42は、生成した暗号キーを暗号キー保存部43に登録し、生成した暗号キーを認証局モジュール50に送信する。
The encryption
暗号キー保存部43は、暗号キー生成部42で生成された暗号キーを記憶保存することで、暗号キーの登録を行う。 暗号キー保存部43に登録される暗号キーは1つである。 そして、一旦、暗号キー保存部43に暗号キーが登録されると、暗号キー保存部43には常に1つだけの暗号キーが登録された状態となる。
The encryption
暗号データ復号部44は、認証局モジュール50より受信した暗号データを、暗号キー保存部43に登録されている暗号キーで復号する。 暗号データ復号部44は、暗号キーによって復号した暗号データから、電子証明書と秘密鍵を入手すると、電子証明書を証明書確認部45に渡し、秘密鍵を鍵保存部46に渡す。
The encryption
証明書確認部45は、暗号データ復号部44より渡される電子証明書を受け取り、そして、その電子証明書が認証局証明書保存部41に登録されている認証局証明書より証明される認証局から発行されたものであることを確認する。 その後、証明書確認部45は、渡された電子証明書に含まれる公開鍵が、鍵保存部46に登録される秘密鍵に対応すること確認して、確認後、その電子証明書を電子証明書保存部47に登録する。
The
鍵保存部46は、暗号データ復号部44より秘密鍵を受け取り、その秘密鍵を記憶保存することで、秘密鍵の登録を行う。 鍵保存部46には、1つだけの秘密鍵が登録され、一旦、秘密鍵が登録されると、新たな秘密鍵の登録は行われず、鍵保存部46には常に1つだけの秘密鍵が登録された状態となる。 また、鍵保存部46は、証明書確認部45や暗号処理部48より秘密鍵を要求されると、登録する秘密鍵を要求を行った証明書確認部45や暗号処理部48に渡す。
The
電子証明書保存部47は、証明書確認部45より渡された電子証明書を記憶保存することで、電子証明書の登録を行う。
The electronic certificate storage unit 47 registers the electronic certificate by storing and storing the electronic certificate passed from the
暗号処理部48は、文書操作部30から秘密鍵が必要な暗号/復号/署名/認証のいずれかの処理が要求されると、電子証明書保存部47から電子証明書を取得し、取得した電子証明書を証明書検証部49に渡して、電子証明書の有効性の確認を行わせる。 暗号処理部48は、電子証明書の有効性が確認されると、鍵保存部46に登録される秘密鍵を入手して、文書操作部30より要求された暗号/復号/署名/認証のいずれかの処理を実行する。
When the
証明書検証部49は、暗号処理部48から電子証明書を受け取ると、受け取った電子証明書の有効性の確認を行う。 証明書検証部49が行う電子証明書の有効性を確認する処理は、電子証明書の有効期限を確認する処理、或いは、ユーザに電子証明書の内容を表示する処理、或いは、予め設定された条件に電子証明書の内容が合致しているか否かを確認する処理などによって行われる。
Upon receiving the electronic certificate from the
認証局モジュール50が備える暗号データ生成部51は、秘密鍵制御モジュール40から暗号キーを受信すると、鍵生成部53に公開鍵と秘密鍵のペアを生成するように要求し、鍵生成部53によって生成された公開鍵を証明書生成部52に渡して電子証明書を生成させる。 その後、暗号データ生成部51は、生成された電子証明書と秘密鍵とを秘密鍵制御モジュール40から受信した暗号キーによって暗号化し、暗号化した暗号データを秘密鍵制御モジュール40に送信する。
When receiving the encryption key from the secret
証明書生成部52は、暗号データ生成部51から公開鍵を受信して電子証明書の生成要求を受けると、受信した公開鍵より電子証明書を生成して、生成した電子証明書を暗号データ生成部51に渡す。
When the
鍵生成部53は、暗号データ生成部51から要求があると、公開鍵と秘密鍵のペアを生成する。
When requested by the encryption
次に、PC4内の秘密鍵制御モジュール40に秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について図3、図4を参照して説明を行う。
Next, processing for registering a private key and a unique electronic certificate in the private key in the private
図3、図4は、秘密鍵制御モジュール40に、秘密鍵とその秘密鍵に一意な電子証明書が登録される処理を示したフローチャートである。
FIG. 3 and FIG. 4 are flowcharts showing processing for registering a secret key and a digital certificate unique to the secret key in the secret
まず、認証局証明書登録部10に記憶される認証局2の認証局証明書が、秘密鍵制御モジュール40内の認証局証明書保存部41に登録される処理が行われる(ステップ301)。
First, a process of registering the certificate authority certificate of the certificate authority 2 stored in the certificate authority
認証局証明書保存部41には1つの認証局証明書しか登録されないので、認証局証明書登録部10から認証局証明書保存部41への登録は、秘密鍵制御システム100において1度だけである。 したがって、認証局証明書登録部10から認証局証明書保存部41へ認証局証明書の登録が試みられるときに、認証局証明書保存部41に既に認証局証明書が登録されていたときには登録の処理は行われない。 つまり、認証局証明書保存部41に、一旦、認証局証明書が登録されると新たな認証局証明書は登録されず、認証局証明書保存部41には常に1つの認証局証明書が登録された状態となる。
Since only one certificate authority certificate is registered in the certificate authority
認証局証明書保存部41に認証局証明書が登録された後に、PC4のキーボードなどから認証局2への電子証明書を生成する要求をユーザから受け付けることができる。
After the certificate authority certificate is registered in the certificate authority
PC4のキーボードなどから、認証局2へ電子証明書を生成する要求が行われると、電子証明書登録部20がその要求を受け付けて、電子証明書登録部20が暗号キー生成部42に電子証明書登録要求を行う。
When a request for generating an electronic certificate is made from the keyboard of the
暗号キー生成部42が電子証明書登録部20からの電子証明書登録要求を受け付けると(ステップ302)、暗号キー生成部42は、認証局証明書保存部41に認証局2の認証局証明書が登録されていることを確認して(ステップ303でYES)、認証局モジュール50に送信する暗号キーを生成する(ステップ304)。 生成される暗号キーは、認証局モジュール50で、秘密鍵モジュール40に送信するデータを暗号化するためのものである。 暗号キー生成部42で生成された暗号キーは暗号キー保存部43に登録され(ステップ305)、そして、暗号キー保存部43に登録された暗号キーと同じ暗号キーが暗号キー生成部42から認証局モジュール50に送信される(ステップ306)。
When the encryption
なお、ステップ303で認証局証明書保存部41に認証局2の認証局証明書が登録されていなかった場合には(ステップ303でNO)、エラーとして処理は中断される(ステップ319)。
If the certificate authority certificate of the certificate authority 2 is not registered in the certificate authority
また、ステップ305で暗号キー保存部43に登録される暗号キーは1つだけであり、暗号キー保存部43に暗号キーが登録されると、暗号キー保存部43には常に1つの暗号キーが登録された状態となる。
In
暗号キー生成部42から暗号キーの送信を受けた認証局モジュール50は、暗号データ生成部51が暗号キーを受信する(ステップ307)。
In the
暗号データ生成部は暗号キーを受信すると、鍵生成部53に、公開鍵と秘密鍵のペアを生成する公開鍵ペア生成要求を渡す。 When the encryption data generation unit receives the encryption key, it passes to the key generation unit 53 a public key pair generation request for generating a public key / private key pair.
公開鍵ペア生成要求が渡された鍵生成部53は、公開鍵と秘密鍵のペアを生成する(ステップ308)。
The
そして、鍵生成部53は、生成した公開鍵と秘密鍵のペアを暗号データ生成部51に渡す。
Then, the
公開鍵と秘密鍵のペアを渡された暗号データ生成部51は、その公開鍵を証明書生成部52に渡す。
The encrypted
証明書生成部52は、渡された公開鍵から電子証明書を生成して(ステップ309)、暗号データ生成部51に生成した電子証明書を渡す。
The
この時点で、暗号データ生成部51は、秘密鍵制御モジュール40から渡された暗号キーと、認証局モジュール50内で生成した秘密鍵とその秘密鍵に対応する電子証明書とを取得している。
At this time, the encryption
そして、暗号データ生成部51は、秘密鍵とその秘密鍵に対応する電子証明書を暗号キーで暗号化して(ステップ310)、秘密鍵制御モジュール40に送信する暗号データを生成する。 生成された暗号データは、認証局2のPC5の暗号データ生成部51から、事業所1に備えられるPC4内の秘密鍵制御モジュール40の暗号データ復号部44に送信される(ステップ311)。
Then, the encrypted
認証局2から送られた暗号データは、PC4内の暗号データ復号部44で受信される(ステップ312)。
The encrypted data sent from the certificate authority 2 is received by the encrypted
暗号データ復号部44は、暗号データ受信後に、暗号キー保存部43より暗号キーを取得して、認証局2より受信した暗号データの復号を取得した暗号キーを使って行う。
The encrypted
暗号キー保存部43より暗号キーを取得できなかった場合や暗号データの復号ができなかった場合には、秘密鍵制御システム100における処理がエラーとして中断される(ステップ313でNO)。
If the encryption key cannot be obtained from the encryption
しかし、暗号キーが取得され暗号データの復号が行われた場合には(ステップ313でYES)、復号されることによって、暗号データ復号部44は暗号データに含まれていた秘密鍵とその秘密鍵に対応する電子証明書とを取得する。 暗号データ復号部44は取得した秘密鍵を鍵保存部46に渡す。
However, when the encryption key is acquired and the encrypted data is decrypted (YES in step 313), the encrypted
秘密鍵が渡された鍵保存部46で、既に秘密鍵が登録されていた場合には(ステップ314でNO)、エラーとして処理は中断される(ステップ319)。 また、秘密鍵が渡された鍵保存部46で、未だ秘密鍵が登録されていない場合には(ステップ314でYES)、鍵保存部46は渡された秘密鍵を登録する(ステップ315)。
If the secret key has already been registered in the
そして、暗号データ復号部44は取得した電子証明書を証明書確認部45に渡す。
Then, the encrypted
証明書確認部45は、認証局証明書保存部41より認証局証明書保存部41に登録される認証局証明書を取得して、渡された電子証明書の認証局が取得した認証局証明書の認証局であることを確認する。
The
このとき、証明書確認部45が認証局証明書保存部41より認証局証明書を取得できない場合や、取得できたとしても渡された電子証明書の認証局と取得した認証局証明書の認証局とが異なっていた場合は、電子証明書の認証局の確認が行われなかったものとされ(ステップ316でNO)、エラーとして処理は中断される(ステップ319)。
At this time, if the
証明書確認部45で、渡された電子証明書の認証局が、取得した認証局証明書の認証局であることが確認できた場合には(ステップ316でYES)、次に、証明書確認部45は、鍵保存部46から鍵保存部46に登録される秘密鍵を取得する。 そして、証明書確認部45は、暗号データ復号部44から渡された電子証明書の公開鍵が、鍵保存部46より取得した秘密鍵と対応関係にあることを確認する。
If the
このとき、証明書確認部45が鍵保存部46より秘密鍵を取得できなかった場合や、暗号データ復号部44から渡された電子証明書の公開鍵が秘密鍵と対応関係になかった場合には、電子証明書の公開鍵の確認が行われなかったものとされ(ステップ317でNO)、エラーとして処理は中断される(ステップ319)。
At this time, when the
電子証明書の認証局の確認(ステップ316でYES)と、電子証明書の公開鍵の確認(ステップ317でYES)とがされると、証明書確認部45は、認証局と公開鍵との確認が行われた電子証明書を電子証明書保存部47に登録する(ステップ318)。 ここで、電子証明書保存部47に登録される電子証明書は1つだけであり、一旦、電子証明書保存部47に電子証明書が登録されると新たな電子証明書の登録は行われず、電子証明書保存部47には常に1つだけの電子証明書が登録された状態となる。
When confirmation of the certificate authority of the electronic certificate (YES in step 316) and confirmation of the public key of the electronic certificate (YES in step 317), the
このようにして、PC4に秘密鍵とその秘密鍵に一意な電子証明書の登録が完了する。 秘密鍵の使用が要求される場合には、登録された電子証明書の有効性が確認された後に秘密鍵の使用が行われるように、秘密鍵制御モジュール40は制御される。
In this way, the registration of the private key and the electronic certificate unique to the private key is completed in the
次に、PC4で秘密鍵が必要なデータの暗号等の要求が行われる処理について図5を参照して説明を行う。
Next, a process for requesting encryption or the like of data requiring a secret key in the
図5は、PC4で秘密鍵が必要なデータの暗号等の要求が行われる処理について示したフローチャートである。
FIG. 5 is a flowchart showing a process in which a request such as encryption of data requiring a secret key is performed in the
PC4において、秘密鍵を必要とするデータの暗号/復号/署名/認証のいずれかの処理の要求が発生すると、データ処理部30が処理要求を暗号処理部48に対して送る。
When a request for any of encryption / decryption / signature / authentication of data requiring a private key is generated in the
データ処理部30が暗号処理部48に送る処理要求には、要求が、暗号ならば暗号化されるデータ、復号ならば暗号データ、署名ならばメッセージから割り出したハッシュ値等、認証ならば認証に必要なデータが含まれる。 これらの処理要求はいずれも秘密鍵の使用が必要な処理である。
The processing request sent from the
暗号処理部48は、暗号/復号/署名/認証のいずれかの処理要求をデータ処理部30より受け付けると(ステップ501)、電子証明書保存部47より電子証明書を取得する。
When the
電子証明書保存部47に電子証明書が登録されてないなどの理由により、暗号処理部48が電子証明書保存部47より電子証明書を取得できなかったら(ステップ502でNO)、エラーとして処理は中断される(ステップ508)。
If the
暗号処理部48が電子証明書保存部47より電子証明書を取得すると(ステップ502でYES)、暗号処理部48は、電子証明書を証明書検証部49に渡して、電子証明書の有効性の確認を行わせる。
When the
証明書検証部49は、渡された電子証明書の有効性を確認する処理を、電子証明書の有効期限を確認する処理、或いは、ユーザに電子証明書の内容を表示する処理、或いは、予め設定された条件に電子証明書の内容が合致しているか否かを確認する処理によって行う(ステップ503)。
The
証明書検証部49によって、電子証明書の有効性が確認されなかったら(ステップ504でNO)、エラーとして処理は中断される(ステップ508)。 処理が中断されると、データ処理部30より要求された処理は行われない。
If the validity of the electronic certificate is not confirmed by the certificate verification unit 49 (NO in step 504), the process is interrupted as an error (step 508). When the process is interrupted, the process requested by the
また、証明書検証部49によって、電子証明書の有効性が確認されたら(ステップ504でYES)秘密鍵の使用が許可され、暗号処理部48は、鍵保存部46に登録される秘密鍵を鍵保存部46から取得する(ステップ505)。
When the validity of the electronic certificate is confirmed by the certificate verification unit 49 (YES in step 504), the use of the private key is permitted, and the
暗号処理部48は、鍵保存部46より取得した秘密鍵を使用して、データ処理部30から受け付けた処理要求に対する処理を行う(ステップ506)。 つまり、処理要求が、暗号であれば秘密鍵が使用されてデータの暗号化が行われ、復号であれば秘密鍵が使用されて暗号データの復号が行われ、署名であれば秘密鍵が使用されてハッシュ値の暗号化が行われ、認証ならば秘密鍵が使用されて認証が行われる。
The
そして、暗号処理部48で行われた処理により生成されたデータが、暗号処理部48からデータ処理部30に送られる(ステップ507)。 暗号処理部48からデータ処理部30に送られるデータは、暗号化されたデータ、或いは、復号されたデータ、或いは、署名、或いは、認証結果などである。
Then, the data generated by the processing performed by the
このようなデータが送られたデータ処理部30は、送られるデータを受信し、処理要求の結果を得る。
The
次に、本発明に係わる秘密鍵制御システム100の応用例について図6を参照して説明を行う。
Next, an application example of the secret
図6は、秘密鍵制御システム100の応用例について示した図である。
FIG. 6 is a diagram showing an application example of the secret
図6(a)に示すように、秘密鍵制御システム100の応用例としては、認証局2に配置されるPC5と事業所1に配置されるPC4とが通信回線3により接続され、そして、事業所1内のPC4にはIC(Integrated Circuit)カード読書き装置601が接続される。
As shown in FIG. 6A, as an application example of the secret
ICカード読書き装置601は、ICカード602に記録された情報を読み取ることができ、また、ICカード602に対して情報を書き込むことができる。
The IC card reader /
PC4は、認証証明書登録部10、電子証明書登録部20、データ処理部30を備える。 そして、ICカード602には、秘密鍵制御モジュール40の機能がプログラムとして組み込まれている。
The
ICカード602に配置される秘密鍵制御モジュール40は、図1(b)を参照して説明したPC4に備えられる秘密鍵制御モジュール40の機能がプログラムとしてICカード602内に組み込まれた状態である。
The secret
図3、図4を参照して説明した、秘密鍵制御モジュール40への秘密鍵とその秘密鍵に一意な電子証明書の登録は、ICカード602がICカード読書き装置601にセットされた状態で行われる。 ICカード602内の秘密鍵制御モジュール40への秘密鍵とその秘密鍵に一意な電子証明書の登録の処理は、PC4内に配置される認証局証明書登録部10、電子証明書登録部20、データ処理部30と、ICカード602内にプログラムとして組み込まれた秘密鍵制御モジュール40によって、図3、図4を参照して説明したように行われるが、ICカード602内に外部との情報の授受を行う図示しない通信インタフェースが存在して、秘密鍵制御モジュール40と情報の授受が行われる。 そして、ICカード602内の秘密鍵制御モジュール40への秘密鍵とその秘密鍵に一意な電子証明書の登録の処理は、図3、図4を参照して説明したPC4内に備えられる秘密鍵制御モジュール40への秘密鍵とその秘密鍵に一意な電子証明書の登録の処理とほぼ同じであるため、説明は省略する(ICカード602内の秘密鍵制御モジュール40は図示しない通信インタフェースにより外部と情報の授受を行う点が異なる)。
The registration of the private key to the private
ICカード602内に秘密鍵とその秘密鍵に一意な電子証明書が登録されると、そのICカード602内の秘密鍵を使用した暗号/復号/署名/認証のいずれかの処理が可能となる。
When a private key and an electronic certificate unique to the private key are registered in the
例えば、図6(b)に示すように、ICカード602内の秘密鍵制御モジュール40に秘密鍵とその秘密鍵に一意な電子証明書が登録されたICカード602が、認証装置603にかざされると、秘密鍵制御モジュール40に登録される電子証明書の有効性が確認されて、そして、ICカード602内の秘密鍵制御モジュール40内に登録される秘密鍵が使用されて認証の処理が行われる。 図1(b)を参照して説明したPC4では、PC4内のデータ処理部30が、PC4内の秘密鍵制御モジュール40に秘密鍵の使用が必要なデータの処理要求を行うように説明したが、図6(b)を参照して説明する認証の処理では、PC4内のデータ処理部30の代わりに認証装置603が、ICカード602内の秘密鍵制御モジュール40に秘密鍵の使用が必要なデータの処理要求を行う。 そして、認証装置603によってICカード602の認証が行われる処理は、図5を参照して説明した秘密鍵が必要なデータの暗号等の要求が行われる処理とほぼ同じである為、説明は省略する(ICカード602内の秘密鍵制御モジュール40はICカード602内の図示しない通信インタフェースにより外部と情報の授受を行う点が異なる)。
For example, as shown in FIG. 6B, an
なお、秘密鍵制御システム100において、秘密鍵制御モジュール40に秘密鍵とその秘密鍵に対応する電子証明書の登録が行われる際(図3、図4のフローチャートに相当)には、事業所1内のPC4と認証局2内のPC5とが接続可能な状態である必要があるが、データ処理部30によって処理要求が行われる際(図5のフローチャートに相当)には、事業所1内のPC4と認証局2内のPC5とが接続可能な状態である必要はない。
In the private
なお、ステップ503において証明書検証部49が行う電子証明書の有効性を確認する処理は、記述した以外の処理で行われても良い。例えば、秘密鍵制御モジュール40内に認証局が発行した証明書失効リストを受信するリスト受信部を備えて、リスト受信部内の証明書失効リストをチェックすることで電子証明書の有効性を確認する処理などである。
Note that the processing of checking the validity of the electronic certificate performed by the
本実施例では、事業所1内で使用されるPC4内に認証局証明書登録部10、秘密鍵制御モジュール60などが備えられ、認証局2内で使用されるPC5内に認証局モジュール70が備えられる秘密鍵制御システム100について説明を行う(図1(b)を参照して説明した構成)。
In the present embodiment, the certificate authority
まず、秘密鍵制御モジュール60と認証局モジュール70などの構成について図7を参照して説明を行う。
First, the configuration of the secret
図7は、秘密鍵制御モジュール60と認証局モジュール70などの構成について示したブロック図である。
FIG. 7 is a block diagram showing the configuration of the secret
事業所1内のPC4内には、認証局証明書登録部10、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール60が備えられ、認証局2内のPC5内には、認証局モジュール70が備えられる。
The
秘密鍵制御モジュール60は、認証局証明書保存部61、鍵生成部62、証明書要求生成部63、証明書確認部64、電子証明書保存部65、鍵保存部66、暗号処理部67、証明書検証部68を備える。
The private
認証局モジュール70は、証明書生成部71を備える。
The
認証局証明書保存部61は、認証局証明書登録部10より受け付けた認証局証明書を記憶保存することにより、認証局証明書の登録を行う。 そして、認証局証明書保存部61は、1つの認証局証明書しか登録しない。 認証局証明書保存部61に、一旦、認証局証明書が登録されると、認証局証明書保存部61には常に1つだけの認証局証明書が登録された状態になる。
The certificate authority
鍵生成部62は、公開鍵と秘密鍵のペアを生成する処理を行う。
The
証明書要求生成部63は、電子証明書登録部20よりユーザからの電子証明書登録要求を受け付け、認証局証明書保存部61に認証局証明書が登録されていることを確認し、鍵生成部62に公開鍵と秘密鍵のペアを生成させる。 そして、証明書要求生成部63は、鍵生成部62が生成した公開鍵を使用して、認証局モジュール70に送信する電子証明書要求を生成する。 証明書要求生成部63によって生成される電子証明書要求には、鍵生成部62が生成した公開鍵が含まれる。 認証書要求生成部63は、電子証明書要求を生成して、生成した電子証明書要求を認証局モジュール70に送信する。
The certificate
証明書確認部64は、認証局モジュール70から電子証明書を受け取り、そして、その電子証明書が、認証局証明書保存部61に登録されている認証局証明書より証明される認証局から発行されたものであることを確認する。 その後、証明書確認部64は、渡された電子証明書に含まれる公開鍵が、鍵保存部66に登録される秘密鍵に対応することを確認して、確認後、電子証明書を電子証明書保存部65に登録させる。
The
電子証明書保存部65は、証明書確認部64から渡された電子証明書を記憶保存することにより、電子証明書の登録を行う。
The electronic
鍵保存部66は、証明書要求生成部63より秘密鍵を受け取り、その秘密鍵を記憶保存することにより、秘密鍵の登録を行う。 鍵保存部66には1つの秘密鍵だけが登録され、一旦、鍵保存部66に秘密鍵が登録されると新たな秘密鍵の登録は行われず、鍵保存部66には常に1つだけの秘密鍵が登録された状態となる。
The
暗号処理部67は、文書操作部30から秘密鍵を必要とする暗号/復号/署名/認証のいずれかの処理が要求されると、電子証明書保存部65から電子証明書を取得し、取得した電子証明書を証明書検証部68に渡して、電子証明書の有効性の確認を行わせる。 暗号処理部67は、証明書検証部68により電子証明書の有効性が確認されると、鍵保存部66に登録される秘密鍵を使用して、文書操作部30より要求された暗号/復号/署名/認証のいずれかの処理を実行する。
When the
証明書検証部68は、暗号処理部67から電子証明書を受け取ると、受け取った電子証明書の有効性の確認を行う。 証明書検証部68が行う電子証明書の有効性を確認する処理は、電子証明書の有効期限を確認する処理、或いは、ユーザに電子証明書の内容を表示する処理、或いは、予め設定された条件に電子証明書の内容が合致しているか否かを確認する処理などによって行われる。
Upon receiving the electronic certificate from the
次に、PC4内の秘密鍵制御モジュール60に秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について図8を参照して説明を行う。
Next, processing for registering a private key and a unique electronic certificate for the private key in the private
図8は、秘密鍵制御モジュール60に、秘密鍵とその秘密鍵に一意な電子証明書が登録される処理を示したフローチャートである。
FIG. 8 is a flowchart showing processing for registering a secret key and a digital certificate unique to the secret key in the secret
まず、認証局証明書登録部10に記憶される認証局2の認証局証明書が、認証局証明書保存部61に登録される処理が行われる(ステップ801)。
First, a process of registering the certificate authority certificate of the certificate authority 2 stored in the certificate authority
認証局証明書保存部61に登録される認証局証明書は1つの認証局証明書しか登録されないので、認証局証明書登録部10から認証局証明書保存部61への登録は、秘密鍵制御システム100において1度だけである。 だから、認証局証明書登録部10から認証局証明書保存部61へ認証局証明書の登録が試みられるときに、認証局証明書保存部61に既に認証局証明書が登録されていたときには登録の処理は行われない。
Since only one certificate authority certificate is registered in the certificate authority
認証局証明書保存部61に認証局証明書が登録された後に、PC4のキーボードなどから認証局2への電子証明書を生成する要求をユーザから受け付けることができる。
After the certificate authority certificate is registered in the certificate authority
PC4のキーボードなどから、認証局2へ電子証明書を生成する要求が行われると、電子証明書登録部20が、その要求を受け付けて、証明書要求生成部63に電子証明書登録要求を行う。
When a request for generating an electronic certificate is made from the keyboard of the
電子証明書登録部20が行った電子証明書登録要求は、証明書要求生成部63で受け付けられる(ステップ802)。
The electronic certificate registration request made by the electronic
電子証明書の登録要求を受け付けた証明書要求生成部63は、認証局証明書保存部61に認証局2の認証局証明書が登録されていることを確認して(ステップ803でYES)、鍵生成部62に公開鍵と秘密鍵のペアの生成を要求する。
Upon receiving the electronic certificate registration request, the certificate
鍵生成部62で公開鍵と秘密鍵のペアが生成されると(ステップ804)、鍵生成部62は、生成した公開鍵と秘密鍵のペアを証明書要求生成部63に渡す。 公開鍵と秘密鍵のペアが渡された証明書要求生成部63は、渡された秘密鍵を鍵保存部66へ渡す。
When the
秘密鍵が渡された鍵保存部66で、既に秘密鍵が登録されていた場合には(ステップ805でNO)、エラーとして処理は中断される(ステップ814)。 秘密鍵が渡された鍵保存部127で、未だ秘密鍵が登録されていない場合には(ステップ805でYES)、鍵保存部127は、渡された秘密鍵を登録する(ステップ806)。
If the secret key has already been registered in the
鍵保存部66に登録される鍵は1つだけである。 ここで、一旦、鍵保存部66に秘密鍵が登録されると新たな秘密鍵の登録は行われず、鍵保存部66には常に1つだけの秘密鍵が登録された状態となる。
Only one key is registered in the
鍵保存部66に鍵が登録されると、証明書要求生成部63は、鍵生成部62から渡された公開鍵を使用して電子証明書要求を生成し、認証局モジュール70に、生成した電子証明書要求を送信する(ステップ807)。 この認証局モジュール70に送られる電子証明書要求は、証明書要求生成部63が鍵生成部62から渡された公開鍵を含むものである。
When the key is registered in the
証明書生成部71は、電子証明書要求を受信し、電子証明書要求に含まれる公開鍵を使用して電子証明書を生成する(ステップ808)。 そして、生成された電子証明書は、証明書生成部71から秘密鍵制御モジュール60の証明書確認部64に送信される(ステップ809)。
The
証明書生成部71から送られた電子証明書は、証明書確認部64で受信される(ステップ810)。
The electronic certificate sent from the
電子証明書が送られた証明書確認部64は、秘密鍵制御モジュール60内の認証局証明書保存部61から認証局証明書を取得し、そして、認証局モジュール70から送られた電子証明書が、取得した認証局証明書より証明される認証局から発行されたものであることを確認する。 このように電子証明書の発行元の認証局の確認が行われる際に、証明書確認部64が、認証局証明書保存部61から認証局証明書を取得できない場合や、認証局証明書の取得後に認証局の確認ができなかった場合には、電子証明書が発行された認証局の確認が行われなかったものとされ(ステップ811でNO)、エラーとして処理は中断される(ステップ814)。
The
次に、証明書確認部64は、鍵保存部66に登録される秘密鍵を鍵保存部66より取得し、そして、認証局モジュール70から送られた電子証明書の公開鍵が、取得した秘密鍵と対応していることを確認する。 証明書確認部64が、電子証明書の公開鍵の確認を行う際に、鍵保存部66に登録される秘密鍵を取得できない場合や、電子証明書の公開鍵が取得した秘密鍵と対応していない場合には、電子証明書の公開鍵の確認が行われなかったものとされ(ステップ812でNO)、エラーとして処理は中断される(ステップ814)。
Next, the
認証局モジュール70から送られた電子証明書の、認証局の確認(ステップ811でYES)と、公開鍵の確認(ステップ812でYES)とが行われると、証明書確認部64は、両方の確認が行われた電子証明書を電子証明書保存部65に登録する(ステップ813)。 なお、電子証明書保存部65に登録される電子証明書は1つだけである。 ここで、一旦、電子証明書保存部65に電子証明書が登録されると新たな電子証明書の登録は行われず、電子証明書保存部65には常に1つだけの電子証明書が登録された状態となる。
When the certificate authority confirmation (YES in step 811) and the public key confirmation (YES in step 812) of the electronic certificate sent from the
このようにしてPC4に秘密鍵とその秘密鍵に一意な電子証明書の登録が完了する。 秘密鍵の使用が要求される場合には、登録された電子証明書の有効性が確認されるようにし、その後、秘密鍵が使用されるように制御される。
In this way, the registration of the private key and the electronic certificate unique to the private key is completed in the
次に、PC4で秘密鍵が必要なデータの暗号等の要求が行われることについての説明は、実施例1において、図5を参照して説明した内容と同じであるため詳細な説明は省略する。 但し、実施例1における記述において、秘密鍵制御モジュール40、鍵保存部46、電子証明書保存部47、暗号処理部48、証明書検証部49は、それぞれ、秘密鍵制御モジュール60、鍵保存部66、電子証明書保存部65、暗号処理部67、証明書検証部68に置き換えて説明されるものとする。
Next, the explanation about the request for encryption of data requiring a secret key in the
なお、本実施例においても、実施例1で図6を参照して説明したように、PC内の秘密鍵モジュールである秘密鍵制御モジュール60の機能をICカード602内にプログラムとして組み込んで、ICカード602で秘密鍵が必要な暗号/復号/署名/認証のいずれかの処理が行われるようにすることができる。 その際、図6に示す認証局2のPC5内には、認証局モジュール70が認証局モジュール50の代わりに配置される。 そして、図6に示すICカード602には、秘密鍵制御モジュール60が秘密鍵制御モジュール40の代わりに備えられ、外部との情報の授受を行う図示しない通信インタフェースが存在して、その通信インタフェースが秘密鍵制御モジュール60と情報の授受を行う。
In the present embodiment, as described with reference to FIG. 6 in the first embodiment, the function of the secret
なお、秘密鍵制御システム100において、秘密鍵制御モジュール60に秘密鍵とその秘密鍵に対応する電子証明書の登録が行われる際(図8のフローチャートに相当)には、事業所1内のPC4と認証局2内のPC5とが接続可能な状態である必要があるが、データ処理部30によって処理要求が行われる際には、事業所1内のPC4と認証局2内のPC5とが接続可能な状態である必要はない。
In the secret
本実施例では、事業所1内で使用されるPC6内にSharedSecret登録部80、秘密鍵制御モジュール90などが備えられ、認証局2内で使用されるPC7内に認証局モジュール110が備えられる秘密鍵制御システム100について説明を行う(図1(c)を参照して説明した構成)。
In this embodiment, a shared
まず、秘密鍵制御モジュール90と認証局モジュール110などの構成について図9を参照して説明を行う。
First, the configuration of the secret
図9は、秘密鍵制御モジュール90と認証局モジュール110などの構成を示したブロック図である。
FIG. 9 is a block diagram showing the configuration of the secret
事業所1内のPC6内には、SharedSecret登録部80、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール90が備えられ、認証局2内のPC7内には、認証局モジュール110が備えられる。
A shared
秘密鍵制御モジュール90は、SharedSecret保存部91、暗号キー保存部92、暗号キー生成部93、SharedSecret検証部94、暗号データ復号部95、証明書確認部96、電子証明書保存部97、鍵保存部98、暗号処理部99、証明書検証部100を備える。
The secret
認証局モジュール110は、SharedSecret保存部111、SharedSecret処理部112、暗号データ生成部113、証明書生成部114、鍵生成部115を備える。
The
SharedSecret保存部91は、SharedSecret登録部80より受け付けたSharedSecretを記憶保存することで、SharedSecretの登録を行う。 SharedSecret保存部91に保存されるSharedSecretは、認証局モジュール110内のSharedSecret保存部111に記憶されるSharedSecretと同じである。 そして、SharedSecret保存部91は、1つのSharedSecretしか登録しない。
The
一旦、SharedSecret保存部91にSharedSecretが登録されると、SharedSecret保存部91には常に1つだけのSharedSecretが登録される状態となる。
Once the SharedSecret is registered in the
暗号キー保存部92は、暗号キー生成部93によって認証局モジュール110に送信される暗号キーを記憶保存することにより、暗号キーの登録を行う。 暗号キー保存部43に登録される暗号キーは1つである。 そして、一旦、暗号キー保存部43に暗号キーが登録されると、暗号キー保存部43には常に1つだけの暗号キーが登録された状態となる。
The encryption
暗号キー生成部93は、電子証明書登録部20よりユーザからの電子証明書登録要求を受け付け、認証局証明書保存部91に証明局証明書が登録されていることを確認し、認証局モジュール110に送信する暗号キーを生成する。 暗号キー生成部93は、生成した暗号キーを暗号キー保存部92に登録し、生成した暗号キーを認証局モジュール110に送信する。
The encryption
SharedSecret検証部94は、SharedSecret保存部91よりSharedSecretを入手して、認証局モジュール110より受信した暗号データに付加された署名の検証を行う。 そして、SharedSecret検証部94は、認証局モジュール110から受信した暗号データからSharedSecret署名を削除した暗号データを、暗号データ復号部95に渡す。
The
暗号データ復号部95は、暗号キー保存部92から暗号キーを取得し、SharedSecret検証部94から渡された暗号データの復号を行う。 そして、復号の結果得られる秘密鍵を鍵保存部98に渡し、復号の結果得られる電子証明書を証明書確認部96に渡す。
The encryption
証明書確認部96は、鍵保存部98から秘密鍵を取得して、暗号データ復号部95から渡された電子証明書の公開鍵と取得した秘密鍵とが対応することを確認する。 そして、証明書確認部96は、確認した電子証明書を、電子証明書保存部97に渡す。
The
電子証明書保存部97は、証明書確認部96から渡された電子証明書を記憶保存することにより、電子証明書の登録を行う。 電子証明書保存部97に登録される電子証明書は1つである。 一旦、電子証明書保存部97に電子証明書が登録されると新たな電子証明書の登録は行われず、電子証明書保存部97には常に1つだけの電子証明書が登録された状態となる。
The electronic
鍵保存部98は、暗号データ復号部95より渡された秘密鍵を記憶保存することにより、秘密鍵の登録を行う。 鍵保存部98には、1つだけの秘密鍵が登録され、一旦、鍵保存部98に秘密鍵が登録されると新たな秘密鍵の登録は行われず、鍵保存部98には常に1つだけの秘密鍵が登録された状態となる。
The
暗号処理部99は、文書操作部30から秘密鍵を必要とする暗号/復号/署名/認証のいずれかの処理が要求されると、電子証明書保存部97から電子証明書を取得し、取得した電子証明書を証明書検証部100に渡して、電子証明書の有効性の確認を行わせる。暗号処理部99は、証明書検証部100により電子証明書の有効性が確認されると、鍵保存部98に登録される秘密鍵を使用して、文書操作部30より要求された暗号/復号/署名/認証のいずれかの処理を実行する。
When the
証明書検証部100は、暗号処理部99から電子証明書を受け取ると、受け取った電子証明書の有効性の確認を行う。 証明書検証部100が行う電子証明書の有効性を確認する処理は、電子証明書の有効期限を確認する処理、或いは、ユーザに電子証明書の内容を表示する処理、或いは、予め設定された条件に電子証明書の内容が合致しているか否かを確認する処理などによって行われる。
Upon receiving the electronic certificate from the
認証局モジュール110内のSharedSecret保存部111は、SharedSecret保存部91に記憶されるSharedSecretと同じSharedSecretを記憶する。
The
SharedSecret処理部112は、暗号データ生成部113から渡された暗号データのハッシュ値をSharedSecretを使用して暗号化することで署名を生成し、渡された暗号データに生成した署名を付加する。 そして、SharedSecret処理部は署名を付加した暗号データを秘密鍵制御モジュール90に送信する。
The
暗号データ生成部113は、秘密鍵制御モジュール90から暗号キーを受信し、証明書生成部114と鍵生成部115で生成された電子証明書と秘密鍵とを暗号キーで暗号化して暗号データを生成する。 そして、生成した暗号データをSharedSecret処理部112に渡す。
The encryption data generation unit 113 receives the encryption key from the secret
証明書生成部114は、暗号データ生成部113から渡された公開鍵より電子証明書を生成する。
The
鍵生成部115は、公開鍵と秘密鍵のペアを生成する。
The
次に、PC6内の秘密鍵制御モジュール90に秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について図10、図11を参照して説明を行う。
Next, processing for registering a private key and a unique electronic certificate for the private key in the private
図10、図11は、秘密鍵制御モジュール90に、秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について示したフローチャートである。
FIGS. 10 and 11 are flowcharts showing processing for registering a private key and a digital certificate unique to the private key in the private
まず、SharedSecret登録部80に登録されるSharedSecretが、SharedSecret保存部91に登録される処理が行われる(ステップ1001)。 SharedSecret保存部91には、1つのSharedSecretしか登録されない。
First, the processing for registering the SharedSecret registered in the
SharedSecret保存部91にSharedSecretが登録された後に、PC6では、認証局2への電子証明書を生成する要求をキーボードなどを通じてユーザから受け付けることができる。
After the SharedSecret is registered in the
PC6のキーボードなどから、認証局2へ電子証明書を生成する要求が行われると、電子証明書登録部20がその要求を受け付けて、電子証明書登録部20が暗号キー生成部93に電子証明書登録要求を行う。
When a request for generating an electronic certificate is made from the keyboard of the
電子証明書登録要求は、暗号キー生成部93で受け付けられる(ステップ1002)。 The electronic certificate registration request is accepted by the encryption key generation unit 93 (step 1002).
電子証明書を登録する要求を受け付けた暗号キー生成部93は、SharedSecret保存部91にSharedSecretが登録されていることを確認する(ステップ1003でYES)。 SharedSecretがSharedSecret保存部91に登録されていない場合は(ステップ1003でNO)、エラーとして処理は中断される(ステップ1022)。
The encryption
SharedSecret保存部91にSharedSecretが登録されていることが確認されると(ステップ1003でYES)、暗号キー生成部93は、認証局モジュール110に送信する暗号キーを生成する(ステップ1004)。
When it is confirmed that SharedSecret is registered in the SharedSecret storage unit 91 (YES in Step 1003), the encryption
生成された暗号キーは暗号キー保存部92に登録され(ステップ1005)、また、生成された暗号キーは、暗号キー生成部93より認証局モジュール50に送信される(ステップ1006)。
The generated encryption key is registered in the encryption key storage unit 92 (step 1005), and the generated encryption key is transmitted from the encryption
認証局モジュール50に送信された暗号キーは、暗号データ生成部113で受信される(ステップ1007)。
The encryption key transmitted to the
暗号キーを受信した暗号データ生成部113は、鍵生成部115に公開鍵と秘密鍵のペアを生成させる。
The encryption data generation unit 113 that has received the encryption key causes the
鍵生成部115は、公開鍵と秘密鍵のペアを生成して(ステップ1008)、暗号データ生成部113に生成した公開鍵と秘密鍵のペアを渡す。
The
そして、暗号データ生成部113は、渡された公開鍵を証明書生成部114に渡して、電子証明書を生成させる。
Then, the encrypted data generation unit 113 passes the passed public key to the
証明書生成部114は、渡された公開鍵から電子証明書を生成する(ステップ1009)。
The
生成された電子証明書は、証明書生成部114から暗号データ生成部113に渡される。
The generated electronic certificate is transferred from the
暗号データ生成部113では、証明書生成部114から渡された電子証明書と、鍵生成部115から渡された秘密鍵(証明書生成部114から渡される電子証明書の公開鍵に対応)とを、秘密鍵制御モジュール90より送信された暗号キーによって暗号化し、1つの暗号データを生成する(ステップ1010)。
In the encrypted data generation unit 113, the electronic certificate passed from the
暗号データ生成部113で生成された1つの暗号データは、暗号データ生成部113からSharedSecret処理部112に送られる。 SharedSecret処理部112では、SharedSecret保存部111からSharedSecretを取得して(ステップ1011)、暗号データ生成部113から送られた1つの暗号データに対して、取得したSharedSecretによる署名を付加する(ステップ1012)。 SharedSecretによる署名は、暗号データ生成部113から送られた1つの暗号データのハッシュ値がSharedSecretにより暗号化されて生成される。
One piece of encrypted data generated by the encrypted data generation unit 113 is sent from the encrypted data generation unit 113 to the
そして、SharedSecret処理部112は、SharedSecretによる署名が付加された暗号データを秘密鍵制御モジュール90に送信する(ステップ1013)。
Then, the
認証局モジュール110から送信された暗号データは、秘密鍵制御モジュール90のSharedSecret検証部94で受信される(ステップ1014)。 SharedSecret検証部94は、SharedSecret保存部91からSharedSecretを取得して(ステップ1015)、取得したSharedSecretを使用して認証局モジュール110から受信した暗号データの署名検証を行う。
The encrypted data transmitted from the
署名の検証は、署名がSharedSecretで復号されることによってSharedSecretを共有している認証局2から送信されたと確認され、復号されたデータが署名が付加された暗号データから得られるハッシュ値と同じであることによって送信された暗号データが改ざんされていないことが確認される。 The verification of the signature is the same as the hash value obtained from the encrypted data to which the signature is added by confirming that the signature is transmitted from the certificate authority 2 sharing the shared secret by decrypting the shared secret. As a result, it is confirmed that the transmitted encrypted data has not been tampered with.
署名検証に関しては、署名がSharedSecretで復号されることにより得られるハッシュ値と、暗号データから得られるハッシュ値とが等しい場合に、署名が有効とされる。 Regarding signature verification, a signature is validated when the hash value obtained by decrypting the signature with SharedSecret is equal to the hash value obtained from the encrypted data.
SharedSecret検証部94が署名検証を行った結果、署名が無効であった場合には(ステップ1016でNO)、エラーとして処理は中断される(ステップ1022)。
As a result of the signature verification by the
また、SharedSecret検証部94が署名検証を行った結果、署名が有効であった場合には(ステップ1016でYES)、SharedSecret検証部94は、認証局モジュール110より受信した暗号データから署名を削除した暗号データを、暗号データ復号部95に渡す。
If the signature is valid as a result of the signature verification by the SharedSecret verification unit 94 (YES in Step 1016), the
暗号データ復号部95は、暗号キー保存部92より暗号キーを取得して、SharedSecret検証部94から渡された暗号データの復号を、取得した暗号キーを用いて行う(ステップ1017)。
The encryption
暗号データ復号部95は、暗号データの復号によって、電子証明書と秘密鍵を取得する。 そして、暗号データ復号部95は、復号によって取得した秘密鍵を鍵保存部98に渡す。
The encrypted
秘密鍵が渡された鍵保存部98で既に秘密鍵が登録されていた場合には(ステップ1018でNO)、エラーとして処理は中断される(ステップ1022)。 秘密鍵が渡された鍵保存部97で、未だ秘密鍵が登録されていない場合には(ステップ1018でYES)、鍵保存部97は、渡された秘密鍵を登録する(ステップ1019)。
If the secret key has already been registered in the
鍵保存部98に登録される秘密鍵は、1つだけである。 ここで、一旦、鍵保存部98に秘密鍵が登録されると新たな秘密鍵の登録は行われず、鍵保存部98には常に1つの秘密鍵が登録された状態となる。
Only one secret key is registered in the
また、暗号データ復号部95は、暗号データの復号によって取得した電子証明書を証明書確認部96に渡す。 証明書確認部96は、暗号データ復号部95より電子証明書を渡されると、鍵保存部98から秘密鍵を取得し、電子証明書の公開鍵が取得した秘密鍵と対応されていることの確認を行う。 その際、証明書確認部96が鍵保存部98から秘密鍵を取得できなかった場合や、電子証明書の公開鍵と秘密鍵とが対応されていなかった場合には、電子証明書の公開鍵の確認ができなかったものとして(ステップ1020でNO)、エラーとして処理は中断される(ステップ1022)。
The encrypted
証明書確認部96により、電子証明書の公開鍵と秘密鍵との対応の確認が行われた場合には(ステップ1020でYES)、確認された電子証明書が、証明書確認部96から電子証明書保存部97に渡され、電子証明書保存部97で登録される(ステップ1021)。 なお、電子証明書保存部97に登録される電子証明書は1つだけである。
If the
このようにして、PC6に、秘密鍵とその秘密鍵に一意な電子証明書との登録が完了する。 秘密鍵が必要なデータの処理が要求される場合には、登録された電子証明書の有効性の確認が行われた後に秘密鍵の使用が行われるように、秘密鍵制御モジュール90は制御される。
In this way, registration of the private key and the electronic certificate unique to the private key is completed in the
次に、PC6で秘密鍵が必要なデータの暗号等の要求が行われる処理についての説明は、実施例1において、図5を参照して説明した内容と同じであるため詳細な説明は省略する。 但し、実施例1における記述において、PC4、秘密鍵制御モジュール40、鍵保存部46、電子証明書保存部47、暗号処理部48、証明書検証部49は、それぞれ、PC6、秘密鍵制御モジュール90、鍵保存部98、電子証明書保存部97、暗号処理部99、証明書検証部100に置き換えて説明されるものとする。
Next, the description of the processing for requesting encryption or the like of data requiring a secret key in the
なお、本実施例においても、実施例1で図6を参照して説明したように、秘密鍵制御モジュール90の機能をICカード602内にプログラムとして組み込んで、ICカード602による暗号/復号/署名/認証のいずれかの処理が行われるようにすることができる。 その際、図6に示す事業所1内には、SharedSecret登録部80、電子証明書登録部20、データ処理部30を備えたPC6がPC4の代わりに配置され、PC6にはICカード読書き装置601が接続される。 そして、図6に示す認証局2内には、認証局モジュール110を備えるPC7がPC5の代わりに配置される。 そして、図6に示すICカード602には、秘密鍵制御モジュール90が秘密鍵制御モジュール40の代わりに備えられ、外部との情報の授受を行う図示しない通信インタフェースが存在して、その通信インタフェースが秘密鍵制御モジュール90と情報の授受を行う。
Also in this embodiment, as described with reference to FIG. 6 in the first embodiment, the function of the secret
なお、秘密鍵制御システム100において、秘密鍵制御モジュール90に秘密鍵とその秘密鍵に対応する電子証明書の登録が行われる際(図10、図11のフローチャートに相当)には、事業所1内のPC6と認証局2内のPC7とが接続可能な状態である必要があるが、データ処理部30によって処理要求が行われる際には、事業所1内のPC6と認証局2内のPC7とが接続可能な状態である必要はない。
In the secret
なお、ステップ1012では、暗号データ生成部113から送られた1つの暗号データに対してSharedSecretによる署名を付加するのではなくて、暗号データ生成部113から送られた1つの暗号データをSharedSecretによって暗号化するようにして、秘密鍵制御モジュール90に送信されるデータが生成されるようにしてもよい。 その際には、SharedSecretによって暗号化されたデータを受信した秘密鍵制御モジュール90は、ステップ1016において暗号データの署名検証を行わずに、認証局モジュール110から受信したデータをSharedSecretによって復号する処理を行う。 そして、SharedSecretによって復号できた場合には、ステップ1016でYESの処理へと進む。
In
本実施例では、事業所1内で使用されるPC6内にSharedSecret登録部80、秘密鍵制御モジュール120などが備えられ、認証局2内で使用されるPC7内に認証局モジュール140が備えられる秘密鍵制御システム100について説明を行う(図1(c)を参照して説明した構成)。
In this embodiment, a shared
まず、秘密鍵制御モジュール120と認証局モジュール140などの構成について図12を参照して説明を行う。
First, the configuration of the secret
図12は、秘密鍵制御モジュール120と認証局モジュール140などの構成を示したブロック図である。
FIG. 12 is a block diagram showing the configuration of the secret
事業所1内のPC6内には、SharedSecret登録部80、電子証明書登録部20、データ処理部30、秘密鍵制御モジュール120が備えられ、認証局2内のPC7内には、認証局モジュール140が備えられる。
A shared
秘密鍵制御モジュール120は、SharedSecret保存部121、鍵生成部122、証明書要求生成部123、証明書確認部124、SharedSecret検証部125、電子証明書保存部126、鍵保存部127、暗号処理部128、証明書検証部129を備える。
The private
認証局モジュール140は、証明書生成部141、SharedSecret処理部142、SharedSecret管理部143を備える。
The
SharedSecret保存部121は、SharedSecret登録部80より受け付けたSharedSecretを記憶保存することにより、SharedSecretの登録を行う。 SharedSecret保存部121に保存されるSharedSecretは、認証局モジュール140内のSharedSecret管理部143に記憶されるSharedSecretと同じである。 そして、SharedSecret保存部121は、1つのSharedSecretしか登録しない。 一旦、SharedSecret保存部121にSharedSecretが登録されると、SharedSecret保存部121には常に1つだけのSharedSecretが登録された状態となる。
The
鍵生成部122は、公開鍵と秘密鍵のペアを生成する。
The
証明書要求生成部123は、電子証明書登録受付部20よりユーザからの電子証明書登録要求を受け付け、SharedSecret保存部121にSharedSecretが登録されていることを確認し、鍵生成部122に公開鍵と秘密鍵のペアを生成させる。 そして、証明書要求生成部123は、鍵生成部122が生成した公開鍵を使用して、認証局モジュール70に送信する電子証明書要求を生成する。 証明書要求生成部123によって生成される電子証明書要求には、鍵生成部122が生成した公開鍵が含まれる。 証明書要求生成部123は、電子証明書要求を生成して、生成した電子証明書要求を認証局モジュール140に送信する。
The certificate request generation unit 123 receives an electronic certificate registration request from the user from the electronic certificate
SharedSecret検証部125は、SharedSecret保存部121からSharedSecretを入手して、認証局モジュール140より受信した電子証明書に付加される署名の検証を行う。 そして、SharedSecret検証部125は、認証局モジュール140から受信した電子証明書からSharedSecret署名を削除した電子証明書を、証明書確認部124に渡す。
The
証明書確認部124は、SharedSecret検証部125から電子証明書が渡されると、鍵保存部127から秘密鍵を取得し、渡された電子証明書の公開鍵が、取得した秘密鍵と対応されていることを確認する。 そして、証明書確認部124は、秘密鍵との対応が確認された電子証明書を電子証明書保存部126に渡す。
When the electronic certificate is delivered from the
電子証明書保存部126は、証明書確認部124から渡された電子証明書を記憶保存することにより、電子証明書の登録を行う。
The electronic
鍵保存部127は、証明書要求生成部123が生成した秘密鍵を証明書要求生成部123から渡されてその秘密鍵を記憶保存することにより、秘密鍵の登録を行う。 鍵保存部127に登録される秘密鍵は1つだけであり、一旦、鍵保存部127に秘密鍵が登録されると新たな秘密鍵の登録は行われず、鍵保存部127には常に1つだけの秘密鍵が登録された状態となる。 そして、鍵保存部127は、証明書確認部124より秘密鍵を要求された場合や、暗号処理部128より秘密鍵を要求された場合に、鍵保存部127に登録される秘密鍵を、証明書確認部124や暗号処理部128に渡す。
The
暗号処理部128は、文書操作部30から秘密鍵を必要とする暗号/復号/署名/認証のいずれかの処理が要求されると、電子証明書保存部126から電子証明書を取得し、取得した電子証明書を証明書検証部129に渡して、電子証明書の有効性の確認を行わせる。 暗号処理部128は、証明書検証部129により電子証明書の有効性が確認されると、鍵保存部127に登録される秘密鍵を鍵保存部127より入手して、文書操作部30より要求された暗号/復号/署名/認証のいずれかの処理を実行する。
When the
証明書検証部129は、暗号処理部128から電子証明書を受け取ると、受け取った電子証明書の有効性の確認を行う。 証明書検証部129が行う電子証明書の有効性を確認する処理は、電子証明書の有効期限を確認する処理、或いは、ユーザに電子証明書の内容を表示する処理、或いは、予め設定された条件に電子証明書の内容が合致しているか否かを確認する処理などによって行われる。
Upon receiving the electronic certificate from the
認証局モジュール140が備える証明書生成部141は、秘密鍵制御モジュール120から受信した電子証明書生成要求より、電子証明書生成要求に含まれる公開鍵を使用して、電子証明書を生成する。 また、証明書生成部141は、生成した電子証明書をSharedSecret処理部142に渡す。
The
SharedSecret処理部142は、証明書生成部141から渡された電子証明書のハッシュ値をSharedSecretを使用して暗号化することで署名を生成し、生成した署名を電子証明書に付加する。
The
SharedSecret管理部143は、事業所1内のPC6のSharedSecret登録部80に記憶されるSharedSecretと同じSharedSecretを記憶する。
The
次に、PC6内の秘密鍵制御モジュール120に秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について図13、図14を参照して説明を行う。
Next, processing for registering a private key and a unique electronic certificate in the private key in the private
図13、図14は、秘密鍵制御モジュール120に、秘密鍵とその秘密鍵に一意な電子証明書が登録される処理について示したフローチャートである。
FIGS. 13 and 14 are flowcharts showing processing for registering a secret key and a digital certificate unique to the secret key in the secret
まず、SharedSecret登録部80に登録されるSharedSecretが、SharedSecret保存部121に登録される処理が行われる(ステップ1301)。 SharedSecret保存部121には、1つのSharedSecretだけが登録される。
First, processing is performed in which the SharedSecret registered in the
SharedSecret保存部121にSharedSecretが登録されると、電子証明書登録部20は、電子証明書を生成する要求を、ユーザが操作するPC6のキーボードなどから受け付けることが可能となる。
When SharedSecret is registered in the
要求を受け付けた電子証明書登録部20は、証明書要求生成部123に電子証明書登録要求を渡す。 証明書要求生成部123は、電子証明書要求受付部90より電子証明書登録要求を受け付ける(ステップ1302)。
Upon receiving the request, the electronic
証明書要求生成部123は、SharedSecret保存部121にSharedSecretが登録されていることを確認して(ステップ1303でYES)、鍵生成部122に公開鍵と秘密鍵のペアを生成させる。 SharedSecret保存部121にSharedSecretが登録されていなかった場合には、エラーとして処理は中断される(ステップ1317)。
The certificate request generation unit 123 confirms that SharedSecret is registered in the SharedSecret storage unit 121 (YES in Step 1303), and causes the
鍵生成部122で公開鍵と秘密鍵のペアが生成されると(ステップ1304)、生成された公開鍵と秘密鍵のペアは、証明書要求生成部123に渡される。 証明書要求生成部123は、渡された秘密鍵を鍵保存部127に渡す。
秘密鍵が渡された鍵保存部127で、既に秘密鍵が登録されていた場合には(ステップ1305NO)、エラーとして処理は中断される(ステップ1317)。 秘密鍵が渡された鍵保存部127で未だ秘密鍵が登録されていない場合には(ステップ1305YES)、鍵保存部127は、渡された秘密鍵を登録する(ステップ1306)。
When the
When the secret key has already been registered in the
また、証明書要求生成部123は、渡された公開鍵から、認証局モジュール140に送る電子証明書要求を生成し、生成した電子証明書要求を認証局モジュール140に送信する(ステップ1307)。 送信される電子証明書要求には、公開鍵が含まれている。
In addition, the certificate request generation unit 123 generates an electronic certificate request to be sent to the
認証局モジュール140に送信された電子証明書要求は、認証局モジュール140内の証明書生成部141で受信される。 証明書生成部141は、電子証明書要求を受信すると、受信した電子証明書要求に含まれる公開鍵を使用して、電子証明書を生成する(ステップ1308)。 証明書生成部141で生成された電子証明書は、SharedSecret処理部142に渡される。
The electronic certificate request transmitted to the
SharedSecret処理部142は、電子証明書を受信して、SharedSecret管理部143よりSharedSecretを取得し(ステップ1309)、取得したSharedSecretを使用して電子証明書から署名を生成し、電子証明書に生成した署名を付加する(ステップ1310)。
The
SharedSecret処理部142で署名が付加された電子証明書は、SharedSecret処理部142から秘密鍵制御モジュール120に送信される(ステップ1311)。
The electronic certificate to which the signature is added by the
秘密鍵制御モジュール120内のSharedSecret検証部125は、認証局モジュール140内のSharedSecret処理部142から送られた署名付の電子証明書を受信する(ステップ1312)。 そして、SharedSecret検証部125は、SharedSecret保存部121に登録されるSharedSecretを取得し(ステップ1313)、受信した電子証明書に付加された署名の検証を、取得したSharedSecretを用いて行う。
The Shared
署名の検証は、SharedSecretにより署名が復号されることによってSharedSecretを共有している認証局2から送信されたと確認され、復号されたデータが電子証明書から得られるハッシュ値と同じであることによって送信された電子証明書が改ざんされていないことが確認される。 The verification of the signature is confirmed by the fact that the signature is decrypted by SharedSecret, and it is confirmed that the signature is transmitted from the certificate authority 2 sharing the SharedSecret, and is transmitted when the decrypted data is the same as the hash value obtained from the electronic certificate. It has been confirmed that the digital certificate has not been tampered with.
署名検証に関しては、署名がSharedSecretで復号されることにより得られるハッシュ値と、電子証明書から得られるハッシュ値とが等しい場合に、署名が有効とされる。 Regarding signature verification, a signature is validated when the hash value obtained by decrypting the signature with SharedSecret is equal to the hash value obtained from the electronic certificate.
署名が検証される際に、SharedSecret保存部121よりSharedSecretが取得されない場合や、検証の結果復号されたデータがハッシュ値と同じであることが確認されなかった場合には、署名が有効でなかったものとして(ステップ1314でNO)、エラーとして処理は中断される(ステップ1317)。
When the signature is verified, if the SharedSecret is not obtained from the
また、署名の検証の結果、署名が有効であったら(ステップ1314でYES)、SharedSecret検証部125は、署名を削除した電子証明書を、証明書確認部124に渡す。 証明書確認部124は、電子証明書が渡されると、鍵保存部127から秘密鍵を取得する。 そして、証明書確認部124は、取得した秘密鍵とSharedSecret検証部125より渡された電子証明書の公開鍵とが対応することを確認する。 証明書確認部124による電子証明書の公開鍵の確認が行われる際に、鍵保存部127から秘密鍵が取得できなかった場合や、電子証明書の公開鍵が秘密鍵と対応することが確認されなかった場合には、電子証明書の公開鍵の確認がされなかったものとして(ステップ1315でNO)、エラーとして処理は中断される(ステップ1317)。
If the signature is valid as a result of the signature verification (YES in step 1314), the
認証局モジュール140から送信された署名付電子証明書の署名の有効性が確認され(ステップ1314でYES)、電子証明書の公開鍵の確認が行われると(ステップ1315でYES)、証明書確認部124は、両方の確認が行われた電子証明書を電子証明書保存部126に渡して、登録させる。
When the validity of the signature of the signed electronic certificate transmitted from the
電子証明書が渡された電子証明書保存部126は、その電子証明書を登録する(ステップ1316)。 ここで、電子証明書保存部126に登録される電子証明書は1つだけであり、一旦、電子証明書保存部126に電子証明書が登録されると新たな電子証明書の登録は行われず、電子証明書保存部126には常に1つだけの電子証明書が登録された状態となる。
The electronic
次に、PC6で秘密鍵が必要なデータの暗号化等の要求が行われる処理については、実施例1において、図5を参照して説明した内容と同じであるため詳細な説明は省略する。 但し、実施例1の記述において、PC4、秘密鍵制御モジュール40、鍵保存部46、電子証明書保存部47、暗号処理部48、証明書検証部49は、それぞれ、PC6、秘密鍵制御モジュール120、鍵保存部127、電子証明書保存部126、暗号処理部128、証明書検証部129に置き換えて説明されるものとする。
Next, the processing for requesting encryption of data that requires a secret key in the
なお、本実施例においても、実施例1で図6を参照して説明したように、PC内の秘密鍵制御モジュールである秘密鍵制御モジュール120の機能をICカード602内にプログラムとして組み込んで、ICカード602で秘密鍵が必要な暗号/復号/署名/認証のいずれかの処理が行われるようにすることができる。 その際、図6に示す事業所1内には、SharedSecret登録部80、電子証明書登録部20、データ処理部30を備えたPC6がPC4の代わりに配置され、PC6にはICカード読書き装置601が接続される。 そして、図6に示す認証局2内には、認証局モジュール140を備えるPC7がPC5の代わりに配置される。 そして、図6に示すICカード602には、秘密鍵制御モジュール120が秘密鍵制御モジュール40の代わりに備えられ、外部との情報の授受を行う図示しない通信インタフェースが存在して、その通信インタフェースが秘密鍵制御モジュール120と情報の授受を行う。
In the present embodiment, as described with reference to FIG. 6 in the first embodiment, the function of the secret
なお、秘密鍵制御システム100において、秘密鍵制御モジュール120に秘密鍵とその秘密鍵に対応する電子証明書の登録が行われる際(図13、図14のフローチャートに相当)には、事業所1内のPC6と認証局2内のPC7とが接続可能な状態である必要があるが、データ処理部30によって処理要求が行われる際には、事業所1内のPC6と認証局2内のPC7とが接続可能な状態である必要はない。
In the private
なお、ステップ1310では、電子証明書にSharedSecretによる署名が付加されて秘密鍵制御モジュール120に送信されるデータが生成されたが、そうではなくて、電子証明書がSharedSecretによって暗号化されて秘密鍵制御モジュール120に送信されるデータが生成されても良い。 その際には、SharedSecretによって暗号化されたデータを受信した秘密鍵制御モジュール120は、ステップ1314において電子証明書に付加された署名の検証を行わずに、認証局モジュール140から受信したデータをSharedSecretで復号する処理を行う。 そして、SharedSecretによって復号できた場合には、ステップ1314でYESの処理へと進む。
In
この発明は、秘密鍵制御装置、秘密鍵制御システムおよび秘密鍵制御プログラムにおいて利用可能である。 The present invention can be used in a secret key control device, a secret key control system, and a secret key control program.
本発明に係わる秘密鍵制御プログラムをICカード、USB(Universal Serial Bus)メモリ、SD(Secure Digital memory card)カードなどに記憶させて秘密鍵制御装置として利用することも可能である。 The secret key control program according to the present invention can be stored in an IC card, USB (Universal Serial Bus) memory, SD (Secure Digital memory card) card or the like and used as a secret key control device.
1 事業所
2 認証局
3 通信回線
4、6 PC(事業所)
5、7 PC(認証局)
10 認証局証明書登録部
20 電子証明書登録部
30 データ処理部
40、60、90、120 秘密鍵制御モジュール
50、70、110、140 認証局モジュール
80 SharedSecret登録部
601 ICカード読書き装置
602 ICカード
603 認証装置
1 Office 2
5, 7 PC (Certificate Authority)
DESCRIPTION OF
Claims (9)
前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、
前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、
前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、
前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、
前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、
前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段と
を備える秘密鍵制御装置。 Receiving means for receiving an electronic certificate from a certificate authority;
Confirmation means for confirming whether the electronic certificate received by the receiving means is issued by a predetermined certificate authority;
Electronic certificate storage means for storing the electronic certificate confirmed by the confirmation means;
Key storage means for storing a private key corresponding to the public key of the electronic certificate stored in the electronic certificate storage means;
Accepting means for accepting a predetermined processing request using the secret key;
Verification means for verifying the validity of the electronic certificate stored in the electronic certificate storage means;
When the electronic certificate is valid by the verification unit, the use of the private key stored in the key storage unit is permitted in response to a predetermined processing request using the private key received by the reception unit. A secret key control device comprising: permission means.
を更に備え、
前記受信手段は、暗号化された電子証明書を含むデータを受信し、
前記確認手段は、前記受信手段で受信したデータが前記共有鍵によって復号できるかにより、当該電子証明書の認証局の確認を行う請求項1に記載の秘密鍵制御装置。 A shared key storing means for storing the same shared key as the shared key stored by the certificate authority,
The receiving means receives data including an encrypted electronic certificate,
The secret key control apparatus according to claim 1, wherein the confirmation unit confirms the certificate authority of the electronic certificate depending on whether the data received by the reception unit can be decrypted by the shared key.
を更に備え、
前記受信手段は、電子署名が付加された電子証明書を含むデータを受信し、
前記確認手段は、前記受信手段で受信した電子署名の前記共有鍵による検証結果より、前記電子証明書の認証局の確認を行う請求項1に記載の秘密鍵制御装置。 A shared key storing means for storing the same shared key as the certificate authority,
The receiving means receives data including an electronic certificate to which an electronic signature is added,
The private key control apparatus according to claim 1, wherein the confirmation unit confirms a certificate authority of the electronic certificate based on a verification result of the electronic signature received by the reception unit using the shared key.
を更に備え、
前記確認手段は、前記受信手段で受信した電子証明書に記載される発行元の認証局と、前記証明書保存手段で保存される証明書の認証局とが同じであるかにより、前記電子証明書の認証局の確認を行う請求項1に記載の秘密鍵制御装置。 Certificate storage means for storing the certificate authority certificate;
The confirmation unit determines whether the certificate authority of the issuer described in the electronic certificate received by the reception unit and the certificate authority of the certificate stored by the certificate storage unit are the same. The secret key control device according to claim 1, wherein the secret key control device confirms the certificate authority of the certificate.
前記生成手段で生成した暗号鍵を前記認証局に送信する暗号鍵送信手段
とを更に備え、
前記鍵保存手段は、前記認証局から前記暗号鍵送信手段で送信した暗号鍵で暗号化された暗号データを受信し、前記生成手段で生成した暗号鍵で当該暗号データを復号することにより秘密鍵を得、当該秘密鍵を保存する請求項5に記載の秘密鍵制御装置。 Generating means for generating an encryption key used for data encryption;
Further comprising: an encryption key transmitting means for transmitting the encryption key generated by the generating means to the certificate authority,
The key storage means receives encrypted data encrypted with the encryption key transmitted by the encryption key transmission means from the certificate authority, and decrypts the encrypted data with the encryption key generated by the generation means, thereby secret key The secret key control apparatus according to claim 5, wherein the secret key is stored.
前記生成手段で生成した公開鍵を前記認証局に送信する公開鍵送信手段
とを更に備え、
前記受信手段は、前記公開鍵送信手段で送信された公開鍵を含む電子証明書を前記認証局から受信し、
前記鍵保存手段は、前記生成手段で生成された秘密鍵を保存する請求項1乃至4のいずれかに記載の秘密鍵制御装置。 Generating means for generating a secret key and a public key corresponding to the secret key;
A public key transmitting means for transmitting the public key generated by the generating means to the certificate authority,
The receiving unit receives an electronic certificate including the public key transmitted by the public key transmitting unit from the certificate authority;
The secret key control apparatus according to claim 1, wherein the key storage unit stores the secret key generated by the generation unit.
前記電子証明書を受信する秘密鍵制御装置と
を具備し、
前記秘密鍵制御装置は、
電子証明書を認証局より受信する受信手段と、
前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、
前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、
前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、
前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、
前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、
前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段と
を備える秘密鍵制御システム。 A certificate authority that issues electronic certificates;
A secret key control device for receiving the electronic certificate,
The secret key control device
Receiving means for receiving an electronic certificate from a certificate authority;
Confirmation means for confirming whether the electronic certificate received by the receiving means is issued by a predetermined certificate authority;
Electronic certificate storage means for storing the electronic certificate confirmed by the confirmation means;
Key storage means for storing a private key corresponding to the public key of the electronic certificate stored in the electronic certificate storage means;
Accepting means for accepting a predetermined processing request using the secret key;
Verification means for verifying the validity of the electronic certificate stored in the electronic certificate storage means;
When the electronic certificate is valid by the verification unit, the use of the private key stored in the key storage unit is permitted in response to a predetermined processing request using the private key received by the reception unit. A secret key control system comprising: a permission means.
電子証明書を認証局より受信する受信手段と、
前記受信手段で受信した電子証明書が予め定められた認証局より発行されたものであるかを確認する確認手段と、
前記確認手段で確認された電子証明書を保存する電子証明書保存手段と、
前記電子証明書保存手段で保存される電子証明書の公開鍵に対応する秘密鍵を保存する鍵保存手段と、
前記秘密鍵を使用する所定の処理要求を受け付ける受付手段と、
前記電子証明書保存手段に保存する電子証明書の有効性を検証する検証手段と、
前記検証手段により当該電子証明書が有効であった場合に、前記受付手段で受け付けた前記秘密鍵を使用する所定の処理要求に対して、前記鍵保存手段に保存する秘密鍵の使用を許可する許可手段
として機能させる秘密鍵制御プログラム。 Receiving means for receiving an electronic certificate from a certificate authority;
Confirmation means for confirming whether the electronic certificate received by the receiving means is issued by a predetermined certificate authority;
Electronic certificate storage means for storing the electronic certificate confirmed by the confirmation means;
Key storage means for storing a private key corresponding to the public key of the electronic certificate stored in the electronic certificate storage means;
Accepting means for accepting a predetermined processing request using the secret key;
Verification means for verifying the validity of the electronic certificate stored in the electronic certificate storage means;
When the electronic certificate is valid by the verification unit, the use of the private key stored in the key storage unit is permitted in response to a predetermined processing request using the private key received by the reception unit. A secret key control program that functions as an authorization means.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007135572A JP2008294552A (en) | 2007-05-22 | 2007-05-22 | Secret key controller, secret key control system, and secret key control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007135572A JP2008294552A (en) | 2007-05-22 | 2007-05-22 | Secret key controller, secret key control system, and secret key control program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008294552A true JP2008294552A (en) | 2008-12-04 |
Family
ID=40168868
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007135572A Pending JP2008294552A (en) | 2007-05-22 | 2007-05-22 | Secret key controller, secret key control system, and secret key control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008294552A (en) |
-
2007
- 2007-05-22 JP JP2007135572A patent/JP2008294552A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101863953B1 (en) | System and method for providing electronic signature service | |
JP4638990B2 (en) | Secure distribution and protection of cryptographic key information | |
CN101212293B (en) | Identity authentication method and system | |
CN109076090B (en) | Updating biometric data templates | |
EP1379930B1 (en) | Security method for transferring shared keys | |
MXPA06010776A (en) | Authentication between device and portable storage. | |
CN102217277A (en) | Method and system for token-based authentication | |
CN101770619A (en) | Multiple-factor authentication method for online payment and authentication system | |
JP2011082662A (en) | Communication device, and method and program for processing information | |
WO2021111824A1 (en) | Electronic signature system and tamper-proof device | |
JP2009212731A (en) | Card issuing system, card issuing server, and card issuing method, and program | |
GB2378871A (en) | Printer regulation through public-key encryption and verification of a user | |
KR20000006633A (en) | Private Key, Certificate Administration System and Method Thereof | |
KR101062624B1 (en) | IC tag system | |
EP3455763B1 (en) | Digital rights management for anonymous digital content sharing | |
CN107409043B (en) | Distributed processing of products based on centrally encrypted stored data | |
JPH10336172A (en) | Managing method of public key for electronic authentication | |
JP2006221566A (en) | Caring service support system using network | |
JP2009033402A (en) | Id based cryptographic system, transmission terminal device, distribution server device, and reception terminal device | |
JP2008234143A (en) | Subject limited mail opening system using biometrics, method therefor, and program therefor | |
KR101933090B1 (en) | System and method for providing electronic signature service | |
US20240129139A1 (en) | User authentication using two independent security elements | |
JP2004140636A (en) | System, server, and program for sign entrustment of electronic document | |
JP2010028689A (en) | Server, method, and program for providing open parameter, apparatus, method, and program for performing encoding process, and apparatus, method, and program for executing signature process | |
KR100625635B1 (en) | Document Security System and Method therefor, and Recording Medium Recording a Program Carring Out The Method |